Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Introducción
La seguridad de la red es un tema muy amplio y una buena parte
de él va más allá del alcance de este curso. No obstante, una de
las capacidades más importantes que un administrador de red
necesita es el dominio de las listas de control de acceso (ACL).
Los administradores utilizan las ACL para detener el tráfico o
permitir sólo el tráfico específico y, al mismo tiempo, para
detener el resto del tráfico en sus redes.
Los diseñadores de red utilizan firewalls para proteger las redes
contra el uso no autorizado. Los firewalls son soluciones de
hardware o software que hacen cumplir las políticas de seguridad
de la red.
Es como la cerradura de la puerta de la habitación de un edificio.
La cerradura sólo permite que ingresen los usuarios autorizados
con una llave o tarjeta de acceso.
J.L.M 2
Introducción
Del mismo modo, los firewalls filtran el ingreso a la red de los
paquetes no autorizados o potencialmente peligrosos.
En un router Cisco, puede configurar un simple firewall que
proporcione capacidades básicas de filtrado de tráfico mediante
las ACL.
Una ACL es una lista secuencial de sentencias de permiso o
denegación que se aplican a direcciones o protocolos de capa
superior.
Las ACL brindan una manera poderosa de controlar el tráfico de
entrada o de salida de la red. Puede configurar las ACL para
todos los protocolos de red enrutados.
El motivo más importante para configurar las ACL es brindar
seguridad a la red.
J.L.M 3
Funciones ACL
Limitar el tráfico de red para mejorar el rendimiento de ésta. Esto reduce
considerablemente la carga de la red y aumenta su rendimiento.
Brindar control de flujo de tráfico. Las ACL pueden inclusive restringir el
envío de las actualizaciones de enrutamiento y asi se preserva el ancho de
banda.
Proporcionar un nivel básico de seguridad para el acceso a la red. Las ACL
pueden permitir que un host acceda a una parte de la red y evitar que otro
acceda a la misma área.
Se debe decidir qué tipos de tráfico enviar o bloquear en las interfaces del
router. Por ejemplo, una ACL puede permitir el tráfico de correo
electrónico, pero bloquear todo el tráfico de Telnet.
Controlar las áreas de la red a las que puede acceder un cliente.
Analizar los hosts para permitir o denegar su acceso a los servicios de red.
Las ACL pueden permitir o denegar el acceso de un usuario a tipos de
archivos, como FTP o HTTP.
J.L.M 4
Filtrado de paquetes
El filtrado de paquetes, analiza los paquetes de entrada y de salida y
permite o bloquea su ingreso según un criterio establecido.
Un router actúa como filtro de paquetes cuando reenvía o deniega
paquetes según las reglas de filtrado.
Cuando un paquete llega al router, éste extrae determinada información
del encabezado del paquete y toma decisiones según las reglas de
filtrado, ya sea autorizar el ingreso del paquete o descartarlo.
El filtrado de paquetes actúa en la capa de red del modelo de
interconexión de sistema abierto OSI o en la capa Internet de TCP/IP.
Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza
reglas para determinar la autorización o denegación del tráfico según las
direcciones IP de origen y de destino, el puerto origen y el puerto
destino, y el protocolo del paquete. Estas reglas se definen mediante las
listas de control de acceso o ACL.
J.L.M 5
¿ Qué es una Lista de Control de Acceso (ACL)?
Una lista de criterios mediante los cuales todos los paquetes son
comparados.
Una lista secuencial de sentencias de permiso o denegación que se aplican a
direcciones IP o protocolos de capa superior.
Ejemplos:
– Pertenece este paquete a la red 10.5.2.0 ? .
Si, tome la acción correspondiente (permit o deny).
No, chequeé la próxima linea de la ACL.
– Proviene este paquete telnet de la red 25.25.0.0 ?
Si, tome la acción correspondiente (permit o deny).
No, chequeé la próxima linea de la ACL.
Al llegar al final de la ACL niegue o permita todo otro tipo de tráfico (el
deny está implícito).
J.L.M 6
¿ Qué es una Lista de Control de Acceso (ACL)?
ACL
J.L.M 7
¿ Como trabaja una lista de acceso (ACL)?
J.L.M 8
¿ Como trabaja una lista de acceso (ACL)?
ACL de entrada
J.L.M 9
¿ Como trabaja una lista de acceso (ACL)?
ACL de salida
J.L.M 10
Lista de Control de Acceso (ACL)
Proveé seguridad.
J.L.M 11
Access Lists Estándar
La ACL estándar es una colección secuencial de condiciones
de permiso o denegación que aplican a las direcciones IP. No
se incluyen el destino del paquete ni los puertos involucrados.
Su filtrado se basa solo en la dirección origen del paquete.
El orden de las condiciones es muy importante, ya que el
software detiene las condiciones de prueba luego de la primera
coincidencia. Si no coinciden ningunas de las condiciones, se
rechaza la dirección.
Deben ser aplicadas lo más cerca del destino.
Identificadas por un número entre 1-99.
J.L.M 12
Access Lists Estándar
Ubicación de una ACL estándar
J.L.M 13
Access Lists Extendidas
Son mucho más flexibles y complejas.
– Dirección origen.
– Dirección destino.
J.L.M 15
Dos pasos : crear y aplicar (Estándar)
Paso 1.- Crear la ACL.
– access-list # permit/deny source IP wildcard
# : 1-99.
permit/deny : Deja pasar o descarta el paquete.
source IP : Dirección IP con la cual el paquete debe ser
comparado. Puede también usarse ANY.
wildcard : Ver próximas láminas.
Paso 2.- Aplicar la ACL en una interfaz.
– Debe hacerse en modo de configuración de interfaz
(config-if)#.
– Comando : IP access-group # in/out (Visto desde el
router).
J.L.M 16
Máscara wildcard
Te permite establecer un rango de direcciones IP.
J.L.M 17
Máscara wildcard
Las sentencias de las ACL incluyen máscaras, también denominadas
máscaras wildcard. Una máscara wildcard es una secuencia de dígitos
binarios que le indican al router qué partes la dirección IP observar.
Aunque las máscaras wildcard no tienen una relación funcional con las
máscaras de subred, sí proporcionan una función similar.
Esta wildcard determina a qué parte de la dirección IP se le debe aplicar
la concordancia de direcciones. Los números 1 y 0 de la máscara
identifican cómo considerar los bits de direcciones IP correspondientes.
Las máscaras wildcard utilizan unos y ceros binarios para filtrar
direcciones IP individuales o en grupo para permitir o denegar el acceso
a recursos según la dirección IP.
Al configurar cuidadosamente las máscaras wildcard, puede permitir o
denegar una o varias direcciones IP.
J.L.M 18
Ejemplos de wildcard
Network Wildcard
195.34.5.12 0.0.0.0
J.L.M 19
Ejemplos de wildcard
Network Wildcard
172.16.10.0 0.0.0.255
J.L.M 20
Dos pasos : crear y aplicar (Extendida)
Crear la ACL extendida
J.L.M 21
Dos pasos : crear y aplicar (Extendida)
Aplicar la ACL extendida
J.L.M 22
Deny any y permit any
Dos casos:
J.L.M 23
Implementación Access Lists
de puerto.
J.L.M 26